Adozione dell’intelligenza artificiale nella pubblica amministrazione: implicazioni privacy
La PA assume la responsabilità del trattamento dei dati personali effettuato tramite IA, anche nei casi in cui l’utilizzo intervenga per il tramite del fornitore di riferimento
L’utilizzo sempre maggiore di sistemi di Intelligenza Artificiale (IA) nelle pubbliche amministrazioni (PA) ha comportato nel febbraio del 2025 l’adozione di linee guida da parte dell’AGID (Agenzia per l’Italia Digitale).
L’ AI, infatti, consistendo sostanzialmente in un insieme di tecnologie in grado di trasformare e potenziare attività economiche e sociali, migliorando i processi decisionali, l’efficienza operativa e la qualità dei servizi offerti alle organizzazioni e agli individui, pur offrendo indubbi benefici in settori chiave come sanità, educazione, trasporti, energia e pubblica amministrazione, comporta rischi per gli interessi pubblici e per i diritti fondamentali tutelati dalla normativa europea e nazionale, fra cui rientra il diritto degli individui alla tutela dei propri dati personali. Le PA quindi devono adottare sistemi di IA nel rispetto delle norme europee e nazionali vigenti in materia di protezione dei dati personali, garantendo elevata qualità e integrità dei dati stessi.
Queste linee guida si applicano:
a) alle pubbliche amministrazioni di cui all’articolo 1, comma 2 del decreto legislativo 30 marzo 2001 n. 165;
b) ai gestori di servizi pubblici, ivi comprese le società quotate in relazione ai servizi di pubblico interesse;
c) alle società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all’articolo 2, comma 1, lettera p).
L’AGID, nell’ambito di queste linee guida, si sofferma sulle implicazioni privacy, evidenziando che le PA che adottano sistemi di IA devono necessariamente tenere in considerazione il rispetto del diritto fondamentale alla protezione dei dati personali.
In primo luogo la PA che adotti sistemi di IA per lo svolgimento delle proprie attività deve rivestire il ruolo di titolare del trattamento dei dati personali (art. 4, n. 7 GDPR). La PA deve quindi essere cosciente di avere la responsabilità del trattamento effettuato tramite lo strumento di IA adottato, anche nei casi in cui l’utilizzo intervenga per il tramite del fornitore di riferimento.
Le linee guida inoltre sottolineano che le PA devono rispettare tre principi fondamentali che il Garante per la protezione dei dati personali ha individuato nel “Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale”. Il Garante evidenzia come la PA deve porre la massima attenzione a tre principi cardine che devono necessariamente governare l’utilizzo di algoritmi e sistemi di IA nell’esecuzione di compiti di rilevante interesse pubblico:
1. il principio di conoscibilità, in base al quale l’interessato ha il diritto di conoscere l’esistenza di processi decisionali basati su trattamenti automatizzati e, in tal caso, di ricevere informazioni significative sulla logica utilizzata, sì da poterla comprendere;
2. il principio di non esclusività della decisione algoritmica, secondo cui deve comunque esistere nel processo decisionale un intervento umano capace di controllare, validare ovvero smentire la decisione automatica (c.d. human in the loop);
3. il principio di non discriminazione algoritmica, secondo cui è opportuno che il titolare del trattamento utilizzi sistemi di IA affidabili che riducano le opacità, gli errori dovuti a cause tecnologiche e/o umane, verificandone periodicamente l’efficacia anche alla luce della rapida evoluzione delle tecnologie impiegate, delle procedure matematiche o statistiche appropriate per la profilazione, mettendo in atto misure tecniche e organizzative adeguate.
L’AGID inoltre individua una serie di prescrizioni operative che devono essere tenute in considerazione e rispettate dalla PA che utilizzi un sistema di IA che comporti il trattamento dei dati personali. In questi casi la PA deve effettuare un’analisi del sistema utilizzato ai fine di garantire e dimostrare che:
• il trattamento dei dati personali mediante il sistema di IA avviene in modo lecito, corretto e trasparente nei confronti dell’interessato;
• i dati personali sono raccolti mediante il sistema di IA per finalità determinate, esplicite e legittime e, successivamente, sono trattati compatibilmente con tali finalità;
• i dati personali trattati a mezzo del sistema di IA sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati;
• i dati personali trattati a mezzo del sistema di IA sono esatti e, se necessario, aggiornati, adottando la PA tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per cui sono trattati;
• i dati personali trattati a mezzo del sistema di IA sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per cui sono trattati;
• la PA utilizza il sistema di IA in modo da garantire un livello di sicurezza dei dati personali adeguato al rischio, individuando e attuando misure tecniche e organizzative adeguate a proteggere i dati da violazioni di sicurezza che possano comportare, illecitamente o accidentalmente, la perdita, la modifica, la divulgazione non autorizzata, l’accesso ai dati personali trasmessi, conservati o comunque trattati;
• la PA garantisce sempre all’interessato l’esercizio dei propri diritti in materia di protezione dei dati personali;
• la PA istruisce e designa il personale a cui attribuisce specifici compiti e funzioni connessi al trattamento di dati personali a mezzo del sistema di IA adottato;
• qualora intenda determinare finalità e mezzi del trattamento congiuntamente ad altro soggetto o utilizzare altro soggetto per il trattamento dei dati personali mediante il sistema di IA, la PA agisce sempre ai sensi degli artt. 26 e 28 del GDPR;
• nell’utilizzo del sistema di IA, la PA garantisce la protezione dei dati personali fin dalla progettazione e per impostazione predefinita;
• prima di procedere al trattamento di dati personali mediante il sistema di IA adottato e altresì periodicamente, la PA effettua una valutazione d’impatto sulla protezione dei dati personali ai sensi dell’art. 35 del GDPR, delle Linee guida dell’Article 29 Working Party e dei provvedimenti del Garante per la protezione dei dati personali, individuando i rischi e le misure tecniche e organizzative idonee a mitigarli e, qualora risulti un rischio elevato in assenza di misure di attenuazione, consulta il Garante per la protezione dei dati personali;
• le categorie particolari di dati personali, come individuate agli artt. 9-10 del GDPR, sono trattate a mezzo di sistemi di IA solo nel rispetto di quanto stabilito dalla normativa unionale e nazionale in materia di protezione dei dati personali e ai sensi dello stesso AI Act.
L’adozione di queste linee guida da parte dell’AGID è dovuta alla consapevolezza del grande impatto ed utilità che sempre di più l’IA avrà in tutti i campi, ma allo stesso tempo è frutto della necessità di limitare l’utilizzo dell’IA al fine di evitare lesioni di diritti fondamentali, tra cui rientra il diritto alla protezione dei propri dati personali.
_______
*Avv. ti Paolo Recla e Antonio Bosco - BSVA Studio Legale
-U16761510804Pvp-735x735@IlSole24Ore-Web.jpg?r=86x86)
